Hunting Secret Key in JavaScript File

Rafshanzani Suhada · October 5, 2022

Banyak dari kalian yang mungkin belum tahu mengenai hal ini dan artikel ini akan menjelaskan cara untuk mendapatkan Secret Key di File .js.

Berikut Tool yang akan digunakan:

  • https://github.com/lc/gau
  • https://github.com/projectdiscovery/nuclei

Hunting JavaScript File

Dengan bantuan Tool gau (getallurls) kita dapat mengekstraksi URL melalui AlienVault’s Open Threat Exchange, the Wayback Machine, dan Common Crawl kemudian melakukan Filter endpoint untuk JS file saja.

echo example.com | gau --threads 10 | cut -d"?" -f1 | grep -E "\.js(?:onp?)?$" | tee jslinks.txt

Setelah URL File .js terkumpul, selanjutnya mencari Secret Key pada File JavaScript (.js) kita menggunakan Tool nuclei dengan template yang sudah disediakan.

nuclei -t exposures/tokens/ -l jslinks.txt

Nuclei Scan

Sebagai contoh di sini saya menemukan Secret Key yang dapat mengakses salah satu Provider untuk Service Mailer. Sendgrid Secret Key

Secret Key yang ditemukan bisa dapat dieksploitasi lebih lanjut.

Twitter, Facebook